※ [本文轉錄自 NetSecurity 看板 #1W4MUNUP ]
作者: CMJ0121 (不要偷 Q) 看板: NetSecurity
標題: [情報] sudo CVE-2021-3156
時間: Wed Jan 27 21:16:04 2021
簡單來說呢 有在使用 sudo 的環境記得升級一下 sudo 版本
中文版本文章[0]表示 有研究人員發現 sudo 有 heap overflow[1] 的狀況
適用情境包含所有系統內的使用者 (含非 sudoer)
所以這個漏洞應該是很好用 (?)
另外 最近在玩 root-me 其中有一關[2]是滿滿的 sudo 誤用的情況
玩到現在的心得就是 不要給 sudo 權限就對了
[0]: https://www.ithome.com.tw/news/142469
[1]: https://en.wikipedia.org/wiki/Heap_overflow
[2]: https://www.root-me.org/en/Challenges/App-Script/Bash-Restricted-shells

Debian, Ubuntu, SUSE, RHEL 都 patch 了, CentOS 不管哪個系列的再等等或是自己抓 git.centos.org 的 patch下來從 SRPM 重編

今天看新聞好像也是陳年漏洞 (X

不過也是最近才揭露的，昨天patch了

CentOS 7 已更新

原來 sudo 比 root 還危險！:p

對 CentOS 都更新了

root只有root本人犯錯,sudo增加更多人可以犯錯,確實比較危險 (誤)

小的我跳出來回一下我當初的意思 我玩到後來偏好 sudo就全開權限、不要只開部分程式權限另外 sudo 的好處就是紀錄哪個人執行高權限指令

@CMJ0121 看怎麼使用，及視所處層次而定。但把root掉，我覺得不是很好的做法。請參考以下文章：https://tinyurl.com/y9tuzpa4s/root掉/root拿掉/

doas 有比 sudo 安全嗎？我看一個叫 Mental Outlaw的 YouTuber 一直推薦之前他就推過，這次出事他馬上跳出來呼籲

還好我都沒在用sudo

@S\d.* 工具只是工具，看怎麼用，有洞就補起來。OpenSSL 不是號稱安全嗎？結果爆出血來，補都來不及所以才會有 LibreSSL 出來。

不相信doas也要相信OpenBSD吧

是在說用工具的態度問題，不是在說 doas 不好。LibreSSL 就是 OpwnBSD 從 OpenSSl fork 出來的。s/OpwnBSD/OpenBSD/

我覺得功能類似 sudo 的工具都可以瞭解一下, doas 或是紅帽常在桌面環境用的 polkit 也可以大概知道一下

那麼各大發行版怎麼不預設用 doas？

2015 才出現，雖馬上就 port 到 linux(OpenDoas)可能還要觀察吧？但 arch/gentoo/void 有提供。

各大發行版怎麼不預設nftables偋棄iptables?怎麼不預設gcc 10? 怎麼不預設suckless WM還在DE?

CentOS 8 把 iptables 丟了啊

啊就先遣隊呀！XD

其實 Debian >=10 和 CentOS >=8 都轉 nftables 了..Ubuntu 因為自家的一些東西還有 issue 還沒在 LTS 轉

debian iptables-legacy 還能裝，CentOS 8 要 rebuild修正一下，debian 10 iptables-legacy 還留在 iptablespackage 裡

什麼！連 iptables 也過時了？

呃，樓上不會要用 pf 為預設吧？XD

搞不好還很多人在用 ifconfig

ifconfig 也過時了？我當初在 Manjaro 很疑惑怎麼沒這指令看介紹感覺 nftables 好很多耶已改用 doas，設定真的簡單多了

樓上，提醒一下，ports 是 ports, 不是原來的 doas曾有一 ports（不是 OpenDoas），發生過大漏洞，和原來的 doas 無關。雖然很快就補好了，不過也因此給大家留下陰影。或許裝個 OpenBSD 玩玩看？@Bencrie 你是說 ipchains？BTW, OpenDoas 比較像是 fork 而不是 port。

arch 官方提供的應該是可靠的？opendoas 的開發者說 AUR 的那個 doas 比較不可靠真的嗎？

呃，這個我不予置評！:P能確定你裝的來源嗎？指 source 來源。如果你裝的是 Duncaen 的版本，請趕快補洞吧！https://tinyurl.com/yxzer28v這個月 28 號發的安全通報（中國）。https://tinyurl.com/y4lwn4wg

ifconfig 就被 iproute2 取代掉的那個舊命令

ifconfig 我知道，我的意思是 ipchains vs iptables功能上比較相當。我有保留一個 kernel 2.6.x 的舊系統，有 ifconfig。

archlinux 都有即使更新呀就是他說的https://github.com/Duncaen/OpenDoas/issues/50#issuecomment-770243361

嗯，我剛剛查了一下，arch 在 29 號就更新了，動作很快。AUR 的版本就是 FreeBSD 採用的版本。參與者多。也是我提到當初有大漏洞的版本。VM 裝個 OpenBSD 吧！你會愛上她的 pf。

那遊戲方面呢？好像比較難學？

https://tinyurl.com/l8thm9s不過，在 OpenBSD 上玩 game 有點浪費……https://tinyurl.com/l8thm9shttps://openports.se/games

當然是灌 VM 跑 Win10 玩 STEAM 3A 大作

AUR 的那個開發者說是那個作者想詆毀他們，他們後來還把他給封鎖但 Arch 又是提供 opendoas到底什麼情況

所以呀！我會叫你在 VM 裝個 OpenBSD 玩看看！XD這裡頭牽涉到 BSD auth 整體身份認證結構，有點和OpenBSD 綁死的那種情形。github/gitlib 還有其也的repo，但最後都沒敢 release。砑要選的話，我會選 Duncaen 的版本。原因是他是Void Linux 的主要開發者之一，對 Linux 整體結構非常熟悉。另外他們也把 LibreSSL 到 Void 裡頭去，所以經驗比較豐富。s/砑/硬/s/LibreSSL 到 Void/LibreSSL port 到 Void/@Bencrie 如果是說在 OpenBSD 灌 VM，目前還很抱歉。

在 Arch 論壇上面大家一面倒地認為 Duncaen 有道理看來 slicer69 的開發方式真的有問題而且 AUR 的那個是移植舊版的

好好吃飽，好好長大，好好讀書，好好修練，你以後就會有能力去 review 他們的 code，判斷誰是誰非。

看了 FreeBSD 的安裝過程和 Linux 好像

你說哪個發行版...我覺得 Linux 光不同發行版就差很多

如果是說從 cd/iso copy 到 HD，這大家都很像。XD要灌 *BSD，先了解它的碰碟配置結構，這和一般不同。如果搞不清楚，現代的 *BSD 有一個 A 的選項，自動的s/碰碟/磁碟/

我會覺得 FreeBSD 某些安裝步驟頗像 Android_x86 (?